Nếu bạn đã từng sử dụng nút “Đăng nhập bằng Facebook” hoặc cấp cho ứng dụng của bên thứ ba quyền truy cập vào tài khoản Twitter của mình, bạn đã sử dụng OAuth. Nó cũng được sử dụng bởi Google, Microsoft và LinkedIn, cũng như nhiều nhà cung cấp tài khoản khác. Về cơ bản, OAuth cho phép bạn cấp cho một trang web quyền truy cập vào một số thông tin về tài khoản của bạn mà không cần cung cấp mật khẩu tài khoản thực của bạn.
Sử dụng OAuth để đăng nhập
OAuth hiện có hai mục đích chính trên web. Thông thường, nó được sử dụng để tạo tài khoản và đăng nhập vào dịch vụ trực tuyến một cách thuận tiện hơn. Ví dụ: thay vì tạo tên người dùng và mật khẩu mới cho Spotify, bạn có thể nhấp hoặc nhấn vào “Sign In With Facebook”. Dịch vụ kiểm tra xem bạn là ai trên Facebook và tạo tài khoản mới cho bạn. Khi bạn đăng nhập vào dịch vụ đó trong tương lai, nó sẽ thấy rằng bạn đang đăng nhập bằng cùng một tài khoản Facebook và cấp cho bạn quyền truy cập vào tài khoản của mình. Bạn không cần thiết lập tài khoản mới hay bất cứ thứ gì — Facebook sẽ xác thực bạn.
Tuy nhiên, điều này rất khác so với việc chỉ cung cấp cho dịch vụ mật khẩu tài khoản Facebook của bạn. Dịch vụ không bao giờ lấy được mật khẩu tài khoản Facebook hoặc toàn quyền truy cập vào tài khoản của bạn. Nó chỉ có thể xem một vài chi tiết cá nhân hạn chế, như tên và địa chỉ email của bạn. Nó không thể xem tin nhắn riêng tư của bạn hoặc đăng trên Timeline của bạn.
“Sign In With Twitter”, “Sign In With Google”, “Sign In With Microsoft”, “Sign In With LinkedIn” hoạt động theo cách tương tự.
OAuth cho các ứng dụng của bên thứ ba
OAuth cũng được sử dụng khi cấp cho các ứng dụng của bên thứ ba quyền truy cập vào các tài khoản như tài khoản Twitter, Facebook, Google hoặc Microsoft của bạn. Nó cho phép các ứng dụng của bên thứ ba này truy cập vào các phần trong tài khoản của bạn. Tuy nhiên, họ không bao giờ lấy được mật khẩu tài khoản của bạn. Mỗi ứng dụng nhận được một mã thông báo truy cập duy nhất giới hạn quyền truy cập mà nó có đối với tài khoản của bạn. Ví dụ: một ứng dụng của bên thứ ba cho Twitter có thể chỉ có khả năng xem các tweet của bạn, nhưng không đăng các tweet mới. Mã thông báo truy cập duy nhất đó có thể bị thu hồi trong tương lai và chỉ ứng dụng cụ thể đó mới mất quyền truy cập vào tài khoản của bạn.
Ví dụ khác, bạn có thể cấp cho ứng dụng của bên thứ ba quyền truy cập chỉ vào các email Gmail của bạn, nhưng hạn chế ứng dụng này làm bất kỳ điều gì khác với tài khoản Google của bạn.
Điều này rất khác với việc chỉ cung cấp cho ứng dụng bên thứ ba mật khẩu tài khoản của bạn và cho phép ứng dụng đó đăng nhập. Các ứng dụng bị giới hạn về những gì chúng có thể làm và mã thông báo truy cập duy nhất đó có nghĩa là quyền truy cập tài khoản có thể bị thu hồi bất kỳ lúc nào mà không cần thay đổi mật khẩu và không thu hồi quyền truy cập từ các ứng dụng khác.
Cách hoạt động của OAuth
Bạn có thể sẽ không thấy từ “OAuth” xuất hiện bất cứ khi nào bạn sử dụng nó. Các trang web và ứng dụng sẽ chỉ yêu cầu bạn đăng nhập bằng Facebook, Twitter, Google, Microsoft, LinkedIn hoặc loại tài khoản khác.
Khi bạn chọn một tài khoản, bạn sẽ được chuyển hướng đến trang web của nhà cung cấp tài khoản, nơi bạn sẽ phải đăng nhập bằng tài khoản đó nếu bạn hiện chưa đăng nhập.
Đảm bảo rằng bạn thực sự được chuyển hướng đến Facebook thực, Twitter, Google, Microsoft, LinkedIn hoặc bất kỳ trang web nào của dịch vụ khác có kết nối HTTPS an toàn trước khi nhập mật khẩu của bạn!
Tùy thuộc vào cách dịch vụ hoạt động, bạn có thể chỉ tự động đăng nhập bằng một chút thông tin cá nhân hoặc bạn có thể thấy lời nhắc cấp cho ứng dụng quyền truy cập vào một số tài khoản của bạn. Bạn thậm chí có thể chọn thông tin bạn muốn cấp cho ứng dụng.
Khi bạn đã cấp quyền truy cập ứng dụng, việc này đã hoàn tất. Dịch vụ bạn chọn cung cấp cho trang web hoặc ứng dụng một mã thông báo truy cập duy nhất. Nó lưu trữ mã thông báo đó và sử dụng nó để có quyền truy cập vào các chi tiết này về tài khoản của bạn trong tương lai. Tùy thuộc vào ứng dụng, điều này có thể chỉ được sử dụng để xác thực bạn khi bạn đăng nhập hoặc để tự động truy cập vào tài khoản của bạn và thực hiện mọi việc trong nền. Ví dụ: một ứng dụng của bên thứ ba quét tài khoản Gmail của bạn có thể thường xuyên truy cập vào email của bạn để nó có thể gửi cho bạn thông báo nếu tìm thấy thứ gì đó.
Cách xem và thu hồi quyền truy cập từ ứng dụng của bên thứ ba
Bạn có thể xem và quản lý danh sách các trang web và ứng dụng của bên thứ ba có quyền truy cập vào tài khoản của bạn trên mỗi trang web của tài khoản. Bạn nên kiểm tra những thông tin này theo thời gian, vì bạn có thể đã từng cấp quyền truy cập thông tin cá nhân của mình cho một dịch vụ, ngừng sử dụng và quên rằng dịch vụ vẫn có quyền truy cập. Giới hạn các dịch vụ có quyền truy cập vào tài khoản của bạn có thể giúp bảo mật tài khoản và dữ liệu cá nhân của bạn.
Hy vọng rằng bài viết này đã giúp ích được cho bạn! Followeek chúc bạn một ngày mới tốt lành.
